NGINX インスタンスの環境をスキャンする方法

F5 NGINX Management Suiteのコア モジュールである Instance Manager は、すべてのNGINX Open Sourceおよび NGINX Plus インスタンスを簡単かつ効率的に検索、管理、監視できる貴重なリソースです。 Instance Manager を使用すると、NGINX インスタンスの追跡が簡単になります。使いやすいインターフェイスにより、組織は単一の画面からすべてのインスタンスを簡単に監視できます。

インスタンス マネージャーは、共通脆弱性識別子 (CVE) の影響を受けるインスタンスや、期限切れの可能性がある SSL 証明書を持つインスタンスも識別できます。 この広範なスキャン機能は、情報技術 (IT) 資産のセキュリティと安全性を確保するために不可欠です。 このモジュールは、これらの脆弱性を解決するのに役立つ新しいバージョンが存在する場合にも通知するため、NGINX インスタンスを積極的に管理および保護したい人にとって不可欠なものになります。

Instance Manager を使用すると、資産が正確に追跡されていることを確信できるため、管理が向上し、全体的なセキュリティが強化されます。

NGINX Management Suiteインスタンスマネージャの仕組み

インスタンス マネージャーを使用すると、インターネット制御メッセージ プロトコル (ICMP) を使用してアクティブなホストを識別することで、環境内の NGINX インスタンスを簡単にスキャンできます。

アクティブ ホストを識別するには、主に 2 つの方法を使用できます。

1. ICMPを有効にする
2. ICMPを無効にする

インスタンスをスキャンするには、スキャン ページに移動し、IP アドレスとポート番号を入力します。 このプロセスは簡単で、スキャン ページに記載されている手順に従うだけで実行できます。

アクティブなホストを識別するには、まず ICMP Hello パケットを使用してポートのアクセス可能性を確認し、次に TCP ハンドシェイクを実行します。 NGINX を検出するには、サーバーの HTTP ヘッダーを分析します。

注記： NGINX Plus で HTTP が有効になっている場合、スキャンによって CVE の脆弱性が明らかになる可能性があります。 ただし、NGINX Plus で HTTP を無効にすると、このアプローチの精度に影響する可能性があります。 無効にすると、スキャンで CVE を識別できなくなります。 したがって、アクティブなホストを識別する際に最も包括的かつ効果的な結果を得るには、NGINX Plus で HTTP を有効にしておくことをお勧めします。

ICMP が無効になっている場合は、TCP ハンドシェイク方式で検証することにより、ポートが適切に機能していることを確認できます。 この方法では、ポートの応答を評価し、ポートが期待どおりに動作していることを確認します。 SYN 要求に応答があった場合、インスタンス マネージャーはポートが NGINX を実行しているかどうか、または証明書の有効期限が切れているかどうかを判断できます。

注記： SYN 要求が応答されない場合、プロセスが遅延し、ポート枯渇の問題が発生する可能性があります。

インスタンス マネージャーには、NGINX サーバーの一部であるかどうかに関係なく、任意のサーバーの SSL 証明書の日付を確認する機能があります。 このモジュールは、各サーバーの SSL 証明書の日付を包括的に評価し、潜在的な有効期限を特定します。 Instance Manager によって実行されるスキャンは、要求されたすべてのポートをカバーし、期限切れの SSL 証明書を警告し、企業の安全維持に役立つ貴重な洞察を提供します。

最後に、ロールベースのアクセス制御 (RBAC) を実装すると、スキャンを開始できるユーザーとスキャン結果へのアクセスを許可したユーザーを完全に制御できます。 この機能により、承認された担当者だけが結果にアクセスできるため、機密情報は機密性と安全性が保たれます。

追加リソース

NGINX Management Suite Instance Manager に関する完全なドキュメントは、こちらでご覧いただけます。

今すぐインスタンス マネージャーを試してみたい場合は、弊社にご連絡いただき、具体的な使用例についてご相談ください。